Este documento describe cómo configurar Cisco Identity Services Engine (ISE) para la integración con un servidor de protocolo ligero de acceso a directorios (LDAP) de Cisco.
No hay requisitos específicos para este documento.
La información de este documento se basa en estas versiones de software y hardware:
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Estos métodos de autenticación son compatibles con LDAP:
Esta sección describe cómo configurar los dispositivos de red e integrar el ISE con un servidor LDAP.
En este ejemplo de configuración, el terminal utiliza un adaptador inalámbrico para asociarse a la red inalámbrica. La LAN inalámbrica (WLAN) en el WLC se configura para autenticar a los usuarios a través del ISE. En el ISE, LDAP se configura como almacén de identidad externo.
Esta imagen ilustra la topología de red que se utiliza:
La instalación de OpenLDAP para Microsoft Windows se completa a través de la GUI, y es sencilla. La ubicación predeterminada es C: > OpenLDAP. Después de la instalación, debería ver este directorio:
Tenga en cuenta dos directorios en particular:
Agregue esta estructura a la base de datos LDAP:
En el directorio raíz, debe configurar dos unidades organizativas (OU). El OU=groups OU debe tener un grupo secundario (cn=domainusers en este ejemplo). El OU=people OU define las dos cuentas de usuario que pertenecen al grupo cn=domainusers.
Para rellenar la base de datos, debe crear el archivo ldif primero. La estructura mencionada anteriormente se creó a partir de este archivo:
dn: ou=groups,dc=maxcrc,dc=com
changetype: add
ou: groups
description: All groups in organisation
objectclass: organizationalunit
dn: ou=people,dc=maxcrc,dc=com
changetype: add
ou: people
description: All people in organisation
objectclass: organizationalunit
dn: uid=john.doe,ou=people,dc=maxcrc,dc=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
uid: john.doe
givenName: John
sn: Doe
cn: John Doe
mail: john.doe@example.com
userPassword: password
dn: uid=jan.kowalski,ou=people,dc=maxcrc,dc=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
uid: jan.kowalski
givenName: Jan
sn: Kowalski
cn: Jan Kowalski
mail: jan.kowalski@example.com
userPassword: password
dn: cn=domainusers,ou=groups,dc=maxcrc,dc=com
changetype: add
objectClass: top
objectClass: posixGroup
gidNumber: 678
memberUid: uid=john.doe,ou=people,dc=maxcrc,dc=com
memberUid: uid=jan.kowalski,ou=people,dc=maxcrc,dc=com
Para agregar los objetos a la base de datos LDAP, puede utilizar el binario ldapModify:
C:\OpenLDAP\ClientTools>ldapmodify.exe -a -x -h localhost -p 389 -D "cn=Manager,
dc=maxcrc,dc=com" -w secret -f C:\OpenLDAP\ldifdata\test.ldif
ldap_connect_to_host: TCP localhost:389
ldap_new_socket: 496
ldap_prepare_socket: 496
ldap_connect_to_host: Trying ::1 389
ldap_pvt_connect: fd: 496 tm: -1 async: 0
attempting to connect:
connect success
adding new entry "ou=groups,dc=maxcrc,dc=com"
adding new entry "ou=people,dc=maxcrc,dc=com"
adding new entry "uid=john.doe,ou=people,dc=maxcrc,dc=com"
adding new entry "uid=jan.kowalski,ou=people,dc=maxcrc,dc=com"
adding new entry "cn=domainusers,ou=groups,dc=maxcrc,dc=com"
Utilice la información proporcionada en las imágenes a lo largo de esta sección para configurar LDAP como almacén de identidad externo en el ISE.
Puede configurar estos atributos desde la pestaña General:
ISE también ofrece algunos esquemas preconfigurados (Microsoft Active Directory, Sun, Novell):
Después de establecer la dirección IP correcta y el nombre de dominio administrativo, puede Probar enlace al servidor. En este punto, no debe recuperar ningún asunto o grupo porque las bases de búsqueda todavía no están configuradas.
En la ficha siguiente, puede configurar la base de búsqueda de grupo/asunto. Este es el punto de unión para el ISE al LDAP. Solo puede recuperar temas y grupos que son elementos secundarios de su punto de unión. En este escenario, se recuperan los temas de OU=personas y los grupos de OU=groups:
Desde la pestaña Grupos, puede importar los grupos desde el LDAP en el ISE:
Utilice la información proporcionada en estas imágenes para configurar el WLC para la autenticación 802.1x:
Uno de los métodos de autenticación soportados para LDAP es EAP-GTC. Está disponible en Cisco AnyConnect, pero debe instalar Network Access Manager Profile Editor para configurar el perfil correctamente. También debe editar la configuración del administrador de acceso de red, que de forma predeterminada se encuentra aquí:
C: > ProgramData > Cisco > Cisco AnyConnect Secure Mobility Client > Network Access Manager > sistema > archivo configuration.xml
Utilice la información proporcionada en estas imágenes para configurar EAP-GTC en el terminal:
Utilice la información proporcionada en estas imágenes para cambiar las políticas de autenticación y autorización en ISE:
Después de aplicar la configuración, debe poder conectarse a la red:
Para verificar las configuraciones LDAP e ISE, debe poder recuperar los temas y grupos con una conexión de prueba al servidor:
Estas imágenes ilustran un informe de ejemplo de ISE:
Esta sección describe algunos errores comunes encontrados con esta configuración y cómo resolverlos:
Authentication method is not supported by any applicable identity storeEste mensaje de error indica que el método que seleccionó no es compatible con LDAP. Asegúrese de que el protocolo de autenticación del mismo informe muestre uno de los métodos admitidos (EAP-GTC, EAP-TLS o PEAP-TLS).